將 Microsoft Sentinel 警示觸發程序劇本移轉至自動化規則
建議您移轉以警示觸發程序為基礎的現有劇本,並將其從由 分析規則叫用, 移轉至 自動化規則所叫用。 本文說明為何建議您執行此動作,以及如何移轉劇本。
如果您要移轉只有一個分析規則使用的劇本,請遵循 從分析規則建立自動化規則 下的指示。
如果您要移轉多個分析規則所使用的劇本,請遵循 從自動化頁面建立新自動化規則 的指示。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
為何要遷移
自動化規則叫用的劇本 (而非分析規則) 具有下列優點:
從單一顯示器進行自動化管理,不論類型為何(「單一玻璃窗格」)。
使用單一自動化規則來觸發多個分析規則的劇本,而不是個別設定每個分析規則。
定義警示劇本執行的順序。
支援設定執行劇本到期日的案例。
移轉劇本觸發程序完全不會變更劇本,而且只會變更叫用劇本以執行變更的機制。
從分析規則叫用劇本的能力將會 在 2026 年 3 月淘汰。 在此之前,已經定義為分析規則的劇本將繼續執行,但截至 2023 年 6 月 您無法再將劇本新增至從分析規則叫用的劇本清單。 唯一的其餘選項是從自動化規則叫用它們。
必要條件
您將需要:
Logic Apps 參與者 角色來建立和編輯劇本
Microsoft Sentinel 參與者 角色,將劇本附加至自動化規則
如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件 (部分機器翻譯)。
從分析規則建立自動化規則
如果您要移轉只有一個分析規則使用的劇本,請使用此程序。 否則,請使用 從 [自動化] 頁面建立新的自動化規則。
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態]>[Analytics] 頁面。 針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[組態]>[Analytics]。
在 [作用中規則] 下方,尋找已設定為執行劇本的分析規則,然後選取 [編輯]。
選取 [自動回應] 索引標籤。在 [警示自動化 (傳統)] 中可以找到直接設定要從此分析規則執行的劇本。 請注意即將淘汰的警告。
在畫面的上半部,選取 [自動化規則] 下方的 [+ 新增],以建立新的自動化規則。
在 [建立新的自動化規則] 面板中,於 [觸發程序] 下方,選取 [建立警示時]。
在 [動作] 下方,查看 [執行劇本] 動作,是唯一可用的動作類型,會自動選取並呈現灰色。從下面這一行的下拉式清單中選取您的劇本。
選取套用。 新的規則會顯示在自動化規則方格中。
從 [警示自動化 (傳統)] 區段中移除劇本。
檢閱並更新分析規則以儲存變更。
從 [自動化] 頁面建立新的自動化規則
如果您要移轉多個分析規則所使用的劇本,請使用此程序。 否則,請使用 從分析規則建立自動化規則
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態]>[Analytics] 頁面。 針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[組態]>[Analytics]。
從頂端功能表列中,選取 [建立 -> 自動化規則]。
在 [建立新的自動化規則] 面板中,於 [觸發程序] 下拉式清單中,選取 [建立警示時]。
在 [條件] 之下,選取您要據以執行特定劇本或一組劇本的分析規則。
在 [動作] 之下,針對您想要叫用此規則的每個劇本,選取 [+ 新增動作]。 執行劇本 動作會自動選取並呈現灰色。
從下面這一行的下拉式清單中選取可用的劇本清單。 根據您希望劇本執行的順序排序動作,方法是選取每個動作旁的向上/向下箭號。
選取 [套用] 以儲存自動化規則。
編輯叫用了這些劇本的分析規則 (您在 [條件] 之下指定的規則),從 [自動回應] 索引標籤的 [警示自動化 (傳統)] 區段移除劇本。
相關內容
如需詳細資訊,請參閱